Prisma Cloud Compute : Runtime Audit Event non généré lors du téléchargement d’un nouveau fichier depuis Webshell

Prisma Cloud Compute : Runtime Audit Event non généré lors du téléchargement d’un nouveau fichier depuis Webshell

6272
Created On 11/01/22 03:59 AM - Last Modified 03/02/23 05:16 AM


Symptom


  • Événement d’audit d’exécution non généré lors du téléchargement d’un nouveau fichier à partir de Webshell.
Exemple

  • Règle d’exécution par défaut configurée pour détecter tout nouveau fichier téléchargé dans /var/www/html/hackable/uploads.

 

1. png

  • Le fichier est téléchargé avec succès à partir de GUI.
3. png
  • Lorsque le fichier est modifié ou ajouté dans CLI, l’événement d’exécution est détecté.
2. png
  • Toutefois, la même chose ne fonctionne pas lorsqu’un nouveau fichier est téléchargé à partir de Webshell de la même application.

Environment


  • Prisma Cloud Calculer

Cause


  • Pour le moment, Prisma Cloud ne détecte pas les événements Move dans le cadre de notre détection.
  • Nous détectons uniquement les événements d’écriture dans les fichiers car le déplacement d’un fichier n’est pas vraiment un événement « d’écriture » car il ne modifie pas le contenu du fichier.
  • Ce comportement est attendu et conforme à la conception actuelle du produit où notre objectif principal avec FS la détection d’exécution est d’alerter sur un fichier en cours de création / modification dans un conteneur, qui est la racine d’une attaque.

Resolution


  • S’il existe une exigence de détection du mouvement de fichier, cela sera considéré comme une demande de fonctionnalité d’amélioration.

Additional Information
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000kF0OCAU&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language